网站建设步骤图,网络建设与运维技能大赛,东莞新闻最新消息,asp钓鱼网站开发重点总结
钓鱼时主动在变量中添加了字段#xff0c;等待用户点击获取ip信息进行下一步资金盘plus呢
左看右看没啥东西#xff0c;看看客服系统能不能打xss。 吊毛客服居然不在线#xff0c;这套客服系统见过是whisper#xff0c;之前审计过没有存储xss
但能通过伪造图片…重点总结
钓鱼时主动在变量中添加了字段等待用户点击获取ip信息进行下一步资金盘plus呢
左看右看没啥东西看看客服系统能不能打xss。 吊毛客服居然不在线这套客服系统见过是whisper之前审计过没有存储xss
但能通过伪造图片地址获取客服ip 这里直接提交内容里面加img src
然后就是漫长等待 终于客服点开了发现是阿里云服务器警惕性还蛮高
扫下端口看看 发现存在其他资产
应该是内部人员管理后台 尝试爆破无果
翻看js文件 存在sql注入 直接dump
Sql注入获取到管理员信息登录后台 骗子真猖狂啊必须拿下
找到一处上传点getshell这不就来了吗 直接上传踢屁股 哟没返回路径
正当没啥结果准备放弃的时候
乱翻乱翻翻用户跟客服的聊天记录 还好聊天后台会返回图片路径而且上传图片名称不会变 那不直接拿下
